Из man 8 sshd в отношении формата файла авторизованных ключей и command="command" вариант:
Обратите внимание, что эту команду можно заменить директивой sshd_config (5) ForceCommand или командой, встроенной в сертификат.
С помощью ssh-keygen -O force-command="command" позволяет встроить команду в сертификат. Но как проверить, что команда не был встроен в сертификат? Наряду с тем же принципом предотвращения выполнения неожиданных команд выполняет ForceCommand всегда отменять команду, встроенную в сертификат?
Может ли злоумышленник обойти принудительную команду ssh authorized_keys? задает более общий вопрос о безопасности, но в настоящее время в ответах не упоминаются команды, встроенные в сертификаты.
На странице руководства ssh-keygen говорится
-O вариант
Specify a certificate option when signing a key.
В -O force-command=command опция относится к сертификатам, а не к ключам.
Вам нужно будет сгенерировать сертификат, подписав ключ, тогда вы сможете декодировать сертификат и увидеть встроенную команду.